Java 7に未パッチの脆弱性、すでに攻撃も発生ブラウザ設定変更で無効化を推奨

US-CERTは米国時間の1月10日、Java 7 Update 10以前に、任意のコード実行につながる深刻な脆弱性が存在することを報告し、注意を呼び掛けた。

» 2013年01月11日 17時31分 公開
[@IT]

 US-CERTは米国時間の1月10日、Java 7 Update 10以前に、任意のコード実行につながる深刻な脆弱性が存在することを報告し、注意を呼び掛けた。まだOracleからはパッチは提供されていない一方で、すでにこの脆弱性を悪用したコードが出回っているという。

 脆弱性が存在するのは、Java Management Extensions(JMX)MBeanコンポーネントだ。この脆弱性を悪用すると、信頼できないJavaアプレットからでもSecurity Managerのファンクションを呼び出し、権限を昇格できてしまう。最終的には、例えば細工を施したWebページを閲覧するだけで、リモートから任意のコードを実行できてしまうおそれがある。CVSSによる深刻度評価は、最高値の「10.0」となっている。

 すでに、「Blackhole」「Cool」といったツールキットで、この脆弱性を悪用するコードが実装されている。

 日本時間の1月11日時点では、Oracleによる修正パッチは提供されていない。US-CERTでは、Webブラウザの設定を変更し、Javaを無効にする回避策を取るよう推奨している。Internet Storm Center(ISC)はブログの中で、今後もこうした脆弱性が発見される可能性に言及し、「もし、Javaを必要とするビジネスクリティカルアプリケーションがあれば、代替策を見つける方がいい」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。